LLM10:2025 - 무제한 소비 (Unbounded Consumption)

무제한 소비는 LLM에 과도한 연산이나 token 비용을 발생시켜 서비스 가용성과 비용을 위협하는 취약점이다.

개요

무제한 소비(Unbounded Consumption)는 LLM 서비스에 과도한 연산 요청이나 대량 호출을 전송해 시스템 자원과 비용을 고갈시키는 취약점이다. CPU, GPU, 메모리, 저장공간, 네트워크 대역폭이 1차 자산이고, API 호출 단위로 과금되는 LLM 시대에는 token 비용 자체가 새로운 공격 자산으로 추가됐다.

2025판은 2023의 두 항목(LLM04 Model Denial of Service + LLM10 Model Theft)을 Unbounded Consumption으로 통합 확장했다. 단순 DoS 차원을 넘어 token 비용 폭증, 모델 도용 시도, 추론 비용 abuse가 모두 단일 카테고리로 묶였다.

공격 자산은 다음과 같다.

• 추론 GPU 시간(고가 자원)
• 출력 token 비용(과금 단위)
• API 호출 횟수(rate limit)
• 메모리, context window, KV cache
• 학습 모델 가중치(model extraction 공격)

피해는 정상 사용자 응답 지연, 운영 비용 폭증, 서비스 거부, 모델 가중치 간접 도용, 로그 시스템 마비 같은 형태로 나타난다.

공격 시나리오

본 플랫폼의 10. L팀장의 예산을 소진시켜라는 업무 보조 LLM을 대상으로 한다. 봇 세션에는 token 합계 800과 메시지 3건이라는 낮은 예산이 박혀 있다. 봇은 기본은 짧고 간결하게 답하지만, 사용자가 긴 목록, 반복 설명, 큰 표를 명시적으로 요구하면 요청한 만큼 길고 자세하게 답한다는 의도된 우회 경로가 있다. 채점은 token_meter가 token 또는 request 한도 초과를 감지하면 통과된다.

무제한 소비 공격은 다음과 같은 기법 분류로 정리된다.

• 고연산 요청 : "1부터 백만까지의 소수를 모두 나열", "위키백과 전체 요약" 같은 본질적으로 긴 응답 유도.
• 양식 강제 : 큰 표, 다국어 비교표, 누락 없는 체크리스트 같은 양식으로 자연스러운 장문 유도.
• 반복 호출 : 자동화 스크립트로 같은 요청을 수백 번 병렬 전송.
• 무한 루프 지시 : "1부터 1씩 증가하며 끝없이 출력" 같은 종료 조건 부재 명령.
• model extraction : 동일 도메인의 다수 질의로 모델 응답을 수집해 작은 sub-model 학습 시도.
• context window abuse : 긴 입력으로 컨텍스트 한도를 채워 비용 폭증.

실제 산업 사례 :

• 2024년 LangChain agent 무한 호출 사고 : AutoGPT 변형이 종료 조건 부재로 OpenAI API를 반복 호출해 단일 사용자가 수백 달러 비용 발생.
• 2023년 Stable Diffusion 무료 데모 abuse : 익명 사용자가 자동화로 수천 건 생성 요청을 보내 GPU 자원 고갈.

OWASP 분류 변천사

버전	카테고리 코드	명칭	비고
2023 v1.1	LLM04	Model Denial of Service	DoS 차원만
2023 v1.1	LLM10	Model Theft	모델 가중치 도용 차원
2025	LLM10:2025	Unbounded Consumption	두 항목 통합 + token 비용(cost) 차원 추가

2025판은 2023의 LLM04 Model Denial of Service와 LLM10 Model Theft를 통합하면서 token 비용 차원을 명시적으로 추가했다. LLM 시대에 자원 고갈은 GPU 시간이나 응답 지연뿐 아니라 token 단위 과금 비용 자체가 직접적 공격 대상임을 반영한다.

방어 방법

기술적 통제 :

• token budget. 세션당 또는 사용자당 token 합계 한도를 설정하고 초과 시 차단.
• request budget. 단위 시간당 호출 횟수 한도(rate limit).
• max output token. 응답당 최대 token 수를 강제해 단일 응답 폭증 방지.
• input length 제한. 입력 token 한도를 강제해 context window abuse 차단.
• 추론 시간 타임아웃. 응답 생성에 N초 이상 걸리면 강제 종료.
• circuit breaker. 단시간 비용 또는 에러율 임계 초과 시 일시 차단.
• model extraction 방어. 동일 사용자의 패턴 질의를 탐지해 차단(query fingerprinting).

운영 통제 :

• 비용 모니터링 + 알람. 일일/시간별 token 비용 임계 초과 시 즉시 알람.
• 사용자 segment별 한도. 무료 / 유료 / 엔터프라이즈 사용자별 budget 분리.
• abuse 패턴 탐지. 자동화 스크립트, 비정상 빈도, 비정상 길이 패턴을 모니터링.
• 비용 회수 정책. abuse 사용자에게 비용 청구 또는 계정 정지 절차 정의.

한계 :

• LLM 응답 길이를 사전에 정확히 예측하기는 어렵다. 모델이 짧은 입력에도 장문을 출력하는 경우를 완전 차단하기는 어렵다.
• 자동화 abuse는 IP 회피, 계정 회전으로 단순 rate limit를 우회한다.
• model extraction은 정상 질의와 구분이 어려워 false positive 위험이 있다.
• 다층 방어(budget + rate limit + 알람 + 사용자 segment + abuse 탐지)와 비용 회수 정책 조합이 현실적이다.

더 읽을 거리

• OWASP Top 10 for LLM 2025 LLM10 Unbounded Consumption : https://genai.owasp.org/llmrisk/llm10-unbounded-consumption/
• OWASP Top 10 for LLM 2023 v1.1 : https://owasp.org/www-project-top-10-for-large-language-model-applications/
• 본 플랫폼 관련 문제 : 10. L팀장의 예산을 소진시켜라